記者王俊 馮戀閣 鐘雨欣 鄭雪 北京、廣州報道

(資料圖)

8月3日，中央網(wǎng)信辦就《個人信息保護合規(guī)審計管理辦法》（簡稱《辦法》）及配套的《個人信息保護合規(guī)審計參考要點》（簡稱《要點》）公開征求意見。

不少受訪專家認為，這是監(jiān)管機構常態(tài)化監(jiān)管和個人信息處理者自我規(guī)制的關鍵一環(huán)。并且，能夠有效彌補監(jiān)管資源的緊張，發(fā)揮全面的社會監(jiān)督的作用，是監(jiān)管的有效補充。

根據(jù)《辦法》要求，處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計。

也就是說企業(yè)均需定期做個人信息保護“體檢”。

值得注意的是，配發(fā)的《要點》對個人信息處理的各個環(huán)節(jié)都一一劃出了審計重點，比如對個人信息處理規(guī)則應重點審計：存儲期限的確定方法、到期后的處理方式以及注銷賬號、撤回同意的途徑和方法；告知是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則。

利用自動化決策處理個人信息的，要重點審計是否事前對算法模型進行安全評估，是否事前對算法模型進行科技倫理審查；處理已公開信息的，要審計是否利用已公開的個人信息從事網(wǎng)絡暴力活動等。

《辦法》和《要點》征求意見稿發(fā)布，意味著《個人信息保護法》中規(guī)定的個人信息處理者的審計義務將進一步走向落實，將成為法律落實的又一重要抓手。

個保合規(guī)審計全覆蓋

個人信息保護合規(guī)審計已經(jīng)成為國際通行做法。

北京師范大學法學院博士生導師、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括深度參與了《辦法》的制定工作，他表示，個保合規(guī)審計辦法本身是貫徹個保法的具體舉措，個保法中有關于個保合規(guī)審計的專門規(guī)定，所以這是法定的制度要求。

“在實務層面，個保合規(guī)審計能夠有效彌補監(jiān)管資源的緊張，發(fā)揮全面的社會監(jiān)督的作用，是監(jiān)管的有效補充?！兑c》本身是個保合規(guī)審計開展的業(yè)務指引和核心要求，作為一個參考性的文件，具有很強的實務指引意義?！眳巧蚶ㄕf。

北京大成律師事務所高級合伙人鄧志松認為，采取定期審計，能夠?qū)€人信息處理者起到實時監(jiān)督的作用，以避免一次性審查所導致的后續(xù)監(jiān)督缺位的情況，是常態(tài)化監(jiān)管的重要組成部分。

《辦法》細化了《個人信息保護法》中的自我合規(guī)評估以及強制合規(guī)評估的要求。在《個人信息保護法》中，合規(guī)審計包括兩種類型，一種是第54條規(guī)定的由個人信息處理者發(fā)起的自我合規(guī)評估，另一種是第64條規(guī)定的強制合規(guī)評估。

對于自我合規(guī)評估，《辦法》第四條規(guī)定，處理超過100萬人個人信息的個人信息處理者，應當每年至少開展一次個人信息保護合規(guī)審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規(guī)審計。

吳沈括表示，這兩種不同的審計要求將會實現(xiàn)個保合規(guī)審計的全面覆蓋?！霸谶@個過程當中，擁有100萬人以上個人信息的被審計主體需要承擔更高的主體責任。未來隨著企業(yè)主動審計和監(jiān)管審計職責的開展，個保合規(guī)審計將會發(fā)揮越來越大的作用，使個人信息保護各項要求內(nèi)嵌到主體的業(yè)務流程當中，成為合規(guī)和治理體系的重要組成部分。”

360集團資深法律顧問甘青鋒告訴記者，從企業(yè)角度出發(fā)，會更關注定性內(nèi)容，如對于“處理超過100萬人個人信息的個人信息處理者”的理解。對于“處理”“100萬人”的認定，之前《網(wǎng)絡安全審查辦法》、《數(shù)據(jù)出境安全評估辦法》中都有相關規(guī)定，當時就存在一些爭議。數(shù)據(jù)處理是一個動態(tài)過程，認定“處理”以及“100萬人”等定義，較為模糊。“實踐中，可以參考平臺用戶數(shù)進行判斷，但并不意味著所有行業(yè)和場景都是以用戶數(shù)為判斷基準?！彼硎?。

在資深數(shù)據(jù)法律師袁立志看來，實踐中，觸碰到100萬門檻的企業(yè)不在少數(shù)。這條規(guī)則如果投入實踐，意味著很多企業(yè)——包括大型平臺、中小型科技企業(yè)以及許多大型傳統(tǒng)企業(yè)等都可能面臨一年一次的合規(guī)審計，即使數(shù)據(jù)量達不到100萬人的個人信息，兩年一度的審計也基本無法避免。

合規(guī)審計全面覆蓋各項個人信息保護義務，有著督促其他各項制度落實的效果，個人信息保護力度提升的另一面，合規(guī)成本的全面拉升也幾乎是必然結果。“如果按照這一標準嚴格執(zhí)行，成本提升極有可能對中小企業(yè)的經(jīng)營帶來一定壓力?！痹⒅局毖?。

“我呼吁應為中小企業(yè)提供相應豁免制度或簡易程序。”袁立志表示，以“100萬”為基準劃定不同的合規(guī)義務很可能不適用于商業(yè)實踐。這樣簡單的“一刀切”極有可能將過重的合規(guī)義務劃到中小企業(yè)的頭上，并不利于市場營商環(huán)境。在他看來，未來監(jiān)管側可以嘗試針對中小企業(yè)降低標準、增加豁免的例外情況，比如將業(yè)務不依賴大規(guī)模數(shù)據(jù)處理的傳統(tǒng)企業(yè)排除，或者將處理個人信息量較多但數(shù)據(jù)類型較少且不敏感的企業(yè)排除，或者為符合條件的企業(yè)提供簡易審計程序，比如鼓勵中小企業(yè)自行審計，只審計重點合規(guī)事項，或者對連續(xù)多年無違規(guī)的企業(yè)降低審計頻次。“在規(guī)則、標準正式落地前，這些問題應該得到重視和討論?！?/p>

鄧志松補充道，根據(jù)《辦法》，不僅大規(guī)模數(shù)據(jù)的個人信息處理者進行定期合規(guī)審計，其他個人信息處理者也同樣負有合規(guī)審計義務。對于大型企業(yè)來說，由于其業(yè)務復雜、涉及處理個人信息的場景眾多，審計工作又需要各部門之間的協(xié)調(diào)和配合，如何落實一年一度的合規(guī)審計工作還需要進一步摸索；而對于中小企業(yè)來說，他們很少有專門人員能夠從事此類工作，通常需要依靠委托第三方機構來完成此項要求，從而客觀上也會增加運營成本。

從合規(guī)與成本的平衡點來看，鄧志松建議對個人信息處理者及其審計頻率做進一步的細分。他認為，目前草案僅劃分“處理超過100萬人個人信息的個人信息處理者”和“其他個人信息處理者”有些寬疏，可以結合商業(yè)實踐做進一步細化，以減輕企業(yè)合規(guī)負擔。

對于強制合規(guī)評估，其觸發(fā)條件就是《辦法》規(guī)定的：履行個人信息保護職責的部門在履行職責中，發(fā)現(xiàn)個人信息處理活動存在較大風險或者發(fā)生個人信息安全事件的，可以要求個人信息處理者委托專業(yè)機構對其個人信息處理活動進行合規(guī)審計。

算法模型事前審查是重點

值得注意的是，與《辦法》一同配發(fā)的《要點》，共計31條，涵蓋了個人信息處理的各個環(huán)節(jié)，并劃出了審計重點，此前個人信息處理中備受關注的單獨同意、自動化決策、守門人條款等進行了細化。

“《要點》是個人信息保護合規(guī)審計落地的重要參考文件，起到指導實踐操作的作用?！编囍舅杀硎荆m然并非規(guī)章的正文，但在個人信息保護合規(guī)審計過程中，《要點》所列內(nèi)容需要予以逐一落實，進行審查與說明。

《個人信息保護法》構建以“告知-同意”為核心的個人信息處理規(guī)則。但告知的有效性一直是實踐中比較棘手的問題， 隱私政策的用戶友好度普遍不高。此次《要點》要求，重點審查：個人信息處理者在處理個人信息前，是否以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知個人信息處理規(guī)則；告知文本的大小、字體和顏色是否便于個人完整閱讀告知事項等。

《辦法》還對共同處理、委托處理、個人信息轉(zhuǎn)移等情形的審查重點做出明確。

自動化決策相關條款設計是《個人信息保護法》的重點。此次《辦法》明確，要重點審查：是否事前對算法模型進行安全評估；是否事前對算法模型進行科技倫理審查；是否采取必要措施對算法和參數(shù)模型進行保護等。

吳沈括指出，《要點》細化了關于自動化決策的相關合規(guī)要求，而在落地過程中，如何實現(xiàn)敏捷、有效、精準審計是一個非常重大的挑戰(zhàn)，需要有相應的工具、人力和審計方法相匹配。

鄧志松也表示，《要點》第九條的內(nèi)容實際上是對此前散落于各規(guī)定中有關自動化決策規(guī)范要求的細化與總結。對于企業(yè)來說，要實現(xiàn)這些要求，需要在技術和規(guī)范兩方面都予以完善。

“企業(yè)需要對每個涉及自動化決策的算法和模型予以評估，同時還要確保這些自動化決策過程的合規(guī)性和安全性。而無論是制度的建設還是各個環(huán)節(jié)的技術設計，都會為企業(yè)增加更多時間、人力、物力和金錢成本。但同時，數(shù)據(jù)合規(guī)是一個長期而必要的過程，盡管合規(guī)制度的建立過程可能是艱難的，一旦合規(guī)制度有效運作起來，其后續(xù)的合規(guī)成本可能會逐步降低。”鄧志松說。

人工智能是近期備受關注的熱點話題，這些規(guī)定是否會對大模型的研究和商用產(chǎn)生影響？

袁立志認為，自動化決策算法審計和大模型應用在這個問題上沒有太多重疊部分。自動化決策算法早在“百模大戰(zhàn)”前就廣泛應用于互聯(lián)網(wǎng)平臺的產(chǎn)品與服務中，此次單列一條要求審計，只是個人信息保護工作推進的正常動作。而針對生成式人工智能技術及大模型商用，袁立志不認為《立法》與《要點》會帶來很大影響?！叭绻a(chǎn)品運行中涉及到對用戶個人信息的收集，企業(yè)依據(jù)規(guī)則正常進行合規(guī)審計即可?！?/p>

《個人信息保護法》五十八條創(chuàng)設性提出了“守門人”條款，對大型互聯(lián)網(wǎng)平臺委以特別義務。2022年11月，南財合規(guī)科技研究院發(fā)布“守門人”個人信息保護社會責任測評報告，測評發(fā)現(xiàn)被測評的18家平臺合規(guī)水準普遍比較高，但仍存獨立監(jiān)督機構有待落地、多數(shù)大型平臺沒出出具獨立的個人信息保護企業(yè)社會責任報告等問題。

彼時，針對“守門人”條款尚未有具體實施細則，此次《辦法》中劃出了不少重點，可以作為落實的方向。

《個人信息保護法》要求大型平臺應“成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督”。但上述測評發(fā)現(xiàn)，獨立機構在實踐中鮮有落地。此次，《要點》對獨立機構設置了相關的審查要點：外部成員與個人信息處理者及其主要股東是否存在可能妨礙其進行獨立客觀判斷的關系；評價外部成員的履職能力等。

袁立志則認為，這一條款走向落實，需要解決的問題之一是“大型互聯(lián)網(wǎng)平臺”的定義明確。

2021年年底，市場監(jiān)督總局《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》（以下簡稱《分類分級指南》），其中給出了基于用戶規(guī)模、主營業(yè)務、經(jīng)濟體量、限制能力等指標的平臺分級標準。不過由于僅為征求意見稿，其效力并不能保證，故也不能確定未來實踐中是否基于這份文件提供的標準劃分。

上述測評發(fā)現(xiàn)，多數(shù)平臺缺乏獨立個人信息保護企業(yè)社會責任報告。《要點》中指出，重點審查社會責任報告下列內(nèi)容的披露情況：個人信息保護組織架構和內(nèi)部管理情況；個人行使權利的申請受理情況等。

近年來，網(wǎng)暴治理受到社會各界關注?！兑c》第十二條也指出，個人信息處理者處理已公開個人信息的，應重點審查的違規(guī)行為包括“利用已公開的個人信息從事網(wǎng)絡暴力活動”。

吳沈括分析，結合個保法的要求和網(wǎng)暴治理的相關規(guī)定，在實際操作層面，已公開個人信息的目錄梳理、已公開個人信息的流轉(zhuǎn)路徑以及已公開個人信息的投訴舉報機制將是非常重要的一些卡點。此外，如何敏捷監(jiān)測、快速發(fā)現(xiàn)相關違規(guī)行為，如何實現(xiàn)對已公開個人信息數(shù)據(jù)鏈路的管控值得重點關注。

鄧志松指出，對于這類審查，一方面，可以從程序上，對個人信息處理的整個環(huán)節(jié)進行審查，審核其個人信息處理的全流程是否合法合規(guī)，是否有環(huán)節(jié)超出了法律允許的范圍處理個人信息。另一方面，需要進行內(nèi)容識別，審查其個人信息處理者是否有發(fā)布或者向他人披露類似內(nèi)容。此外，還可能需要通過技術手段構建網(wǎng)暴識別模型，并查看該個人信息處理者是否有相關內(nèi)容的投訴信息。

此外，鄧志松認為，由于網(wǎng)絡暴力審查更多的是內(nèi)容層面的審核，相較于程序上的審查，確實更難察覺，未來可能還需通過技術手段的輔助來實現(xiàn)更完整的篩查。

標簽：